<ins id="tnc6t"></ins>
<ins id="tnc6t"><address id="tnc6t"><output id="tnc6t"></output></address></ins>
  • <input id="tnc6t"></input>

      <button id="tnc6t"></button>

        1. Globelmposter勒索樣本分析報告

          2018年08月30日

          最近接到客戶舉報,服務器文件被勒索軟件加密,聯系客戶拿到樣本之后,判定該樣本為Globelmposter家族的變種樣本。

          Globelmposter家族首次發現在2017年5月份,這次發現的樣本為Globelmposter家族的最新樣本,沒有內網傳播功能,其加密文件使用.TRUE擴展名,取消了勒索付款的比特幣錢包地址以及回傳信息的“洋蔥”網絡地址,而是直接通過郵件地址告知受害者聯系,然后取得相應的付款方式,由于Globelmposter采用RSA2048算法加密,目前該勒索樣本加密的文件無解密工具。


          行為分析

          1.勒索樣本在運行后,首先判斷%LOCALAPPDATA%或%APPDATA%環境變量是否存在,如果存在則將自身復制到%LOCALAPPDATA%或%APPDATA%目錄,如圖所示關的反匯編代碼如圖

          2.復制自身到%LOCALAPPDATA%或%APPDATA%目錄之后,進行持久化操作,設置自啟動項,注冊表項為

          HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck實現開機自啟動,反匯編代碼如圖所示:


          3.通過內存解密,得到如下圖所示的目錄字符串列表:

          勒索軟件在進行加密的時候,會判斷是否是以上目錄,如果是以上目錄則不進行加密操作,如圖所示:


          4.生成RSA私鑰并使用硬編碼公鑰加密,之后將加密后的密文轉換為ASCII碼,最后將密文寫入%ALLUSERSPROFILE%變量路徑中,生成的密鑰ID文件如圖所示:

          5.樣本通過RSA算法進行加密,先通過CryptGenRandom隨機生成一組128位密鑰對,然后使用樣本中的硬編碼的256位公鑰生成相應的私鑰,最后生成受害用戶的個人ID序列號,然后加密相應的文件夾目錄和擴展名,并將生成的個人ID序列號寫入到加密文件未尾,如圖所示:


          6.用戶感染相應的勒索樣本之后,樣本會加密相應的文件夾下的文件,并生成how_to_back_file.html的超文本文件,如圖所示:


          生成的超文件文件,顯示了個人的ID序列號,以及惡意軟件作者的聯系方式,如圖所示:


          7.加密完成之后,進行自刪除操作,如圖所示:


          防御方式

          千里目安全實驗室提醒各位小伙伴們,平時注意以下安全防范措施:

          • 不要點擊來源不明的郵件以及附件

          • 及時給電腦打補丁,修復漏洞

          • 對重要的數據文件定期進行非本地備份

          • 安裝專業的終端/服務器安全防護軟件

          • Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議),因此建議用戶關閉相應的RDP(遠程桌面協議)

          • 盡量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等。


          江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com          

          <ins id="tnc6t"></ins>
          <ins id="tnc6t"><address id="tnc6t"><output id="tnc6t"></output></address></ins>
        2. <input id="tnc6t"></input>

            <button id="tnc6t"></button>

              1. {关键词}